RockYou zgwałciło transmisję danych

Człowiek z Indiany wysłał wczoraj popularnego twórcę aplikacji społecznościowych, wielkiego "kawałka talentu" - w formie pozwu zbiorowego. Alan Claridge pozwał RockYou, twórcę spamtastycznych aplikacji Facebooka i MySpace, takich jak "Pieces of Flair" i "SuperWall", po tym, jak firma przyznała się, że straciła ponad 30 milionów osobistych danych identyfikacyjnych hakera.

Incydent - jeden najlepszych danych z 2009 r. - Rockyou nie zapoznał się z nimi przez prawie dwa tygodnie.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Jak to się stało?

Pamiętaj, że kiedyś było OK napisać nazwę użytkownika i hasło komputera na karteczce i umieścić ją na monitorze? Och, racja - to było nigdy w porządku. Ale tak właśnie było w przypadku RockYou ze wszystkimi poufnymi danymi. Zamiast szyfrować lub podejmować jakiekolwiek rozsądne kroki, aby się bronić, RockYou zachował wszystkie przechowywane dane osobowe w plikach tekstowych. Tak:.txt docs.

"RockYou lekkomyślnie i świadomie nie udało się podjąć nawet najbardziej podstawowych kroków w celu ochrony danych osobowych użytkowników (dane osobowe), pozostawiając dane w całości niezaszyfrowane i dostępne dla każdej osoby posiadającej podstawowy zestaw hakerów Umiejętność podejmowania PII co najmniej 32 milionów klientów, "twierdzi pozew.

Haker znany jako" igigi "był niezwykle łatwy w wykorzystaniu luk podatności na wstrząsy SQL firmy RockYou (w zasadzie" złe kodowanie "). Być może pamiętasz ten termin z początku tego roku, kiedy systemy płatności Heartland zaczęły krzyczeć z milionami i numerami kart kredytowych. Zgodnie z kopią pozwu uzyskanego przez Wired, "igigi" usunęło z "e-maili i haseł około 32 milionów zarejestrowanych użytkowników RockYou."

Co zrobił RockYou?

Nie za dużo, zgodnie z garnitur. Claridge otrzymał e-mail od RockYou w dniu 16 grudnia informując go, że jego informacje mogły zostać naruszone. W międzyczasie, 12 dni wcześniej, RockYou odkrył własne luki w zabezpieczeniach i zamknął witrynę.

Co dalej?

Na początek RockYou opublikował przeprosiny / objaśnienia ataku na swojej stronie internetowej. "Prywatność i bezpieczeństwo danych naszych użytkowników zawsze były dla Rockyou priorytetem, a my staramy się je chronić." Nasi użytkownicy mają zaufanie do naszych usług i będziemy nadal zapewniać, że zaufanie jest zasłużone ", pisze firma., RockYou planuje przeprowadzić dochodzenie, przejrzeć i wdrożyć "nowe praktyki, aby temu zapobiec". RockYou przytoczył następujące kroki:

Szyfrujemy wszystkie hasła;

1. Uaktualniamy starszą platformę za pomocą tej samej infrastruktury i standardowych protokołów bezpieczeństwa, które stosujemy na naszych platformach aplikacji partnerskich;
2. Sprawdzamy nasze aktualne funkcje bezpieczeństwa danych i zapewnienie, że spełniają one standardy branżowe i najlepsze praktyki; i
3. Współpracujemy z władzami federalnymi w celu zbadania nielegalnego naruszenia naszej bazy danych.
4. Pozew, który został złożony w Sądzie Okręgowym Stanów Zjednoczonych w San Francisco, zawiera dziewięć zarzutów, w tym zaniedbanie, naruszenie umowy, naruszenie Ustawa o przestępstwach komputerowych w Kalifornii i ustawa o bezpieczeństwie naruszającym bezpieczeństwo w Kalifornii. Garnitur wymaga, aby RockYou chronił dane klientów, a także szukał "nieokreślonych szkód".

Z takim rodzajem nacisku na ramiona RockYou powinien szybko posprzątać. Zasada jest jednak bardzo ważna: jak mamy cieszyć się nieszkodliwymi aplikacjami społecznościowymi, gdy sprawy mogą się tak niespodziewanie przybrać na kwaśne strony? Firma RockYou nie chroni swoich klientów i jej 12-dniowego czekania przed powiadomieniem kogokolwiek o hackach naraża się na zaniedbanie, które po prostu nie powinno istnieć w dobie Internetu.